Kaspersky Anti Targeted Attack Platform (EDR)

Tutti i dati che l'applicazione archivia in locale nel computer vengono eliminati dal computer quando Kaspersky Endpoint Security viene disinstallato.

Dati di servizio

L'agente integrato di Kaspersky Endpoint Security archivia in locale i seguenti dati:

• File elaborati e dati immessi dall'utente durante la configurazione dell'agente integrato di Kaspersky Endpoint Security:
  • File in quarantena
  • Impostazioni dell'agente integrato di Kaspersky Endpoint Security:
    • Chiave pubblica del certificato utilizzato per l'integrazione con Central Node
    • Dati di licenza
• Dati richiesti per l'integrazione con Central Node:
  • Coda di pacchetti di eventi di telemetria
  • Cache degli identificatori di file IOC ricevuti da Central Node
  • Oggetti da passare al server all'interno dell'attività Ottieni file
  • I rapporti dei risultati delle attività di recupero dei dati forensi

Dati nelle richieste a KATA (EDR)

Durante l'integrazione con Kaspersky Anti Targeted Attack Platform, i seguenti dati vengono archiviati in locale nel computer:

Dati provenienti dall'agente integrato delle richieste di Kaspersky Endpoint Security al componente Central Node:

• Nelle richieste di sincronizzazione:
  • ID univoco
  • Parte di base dell'indirizzo Web del server
  • Nome del computer
  • Indirizzo IP del computer
  • Indirizzo MAC del computer
  • Ora locale sul computer
  • Stato di Auto-difesa di Kaspersky Endpoint Security
  • Nome e versione del sistema operativo installato nel computer
  • Versione di Kaspersky Endpoint Security
  • Versioni delle impostazioni dell'applicazione e delle impostazioni delle attività
  • Stati delle attività: identificatori delle attività, stati di esecuzione, codici di errore
• Nelle richieste di recupero di file dal server:
  • Identificatori univoci dei file
  • Identificatore univoco di Kaspersky Endpoint Security
  • Identificatori univoci dei certificati
  • Parte di base dell'indirizzo Web del server con il componente Central Node installato
  • Indirizzo IP dell'host
• Nei rapporti sui risultati dell'esecuzione delle attività:
  • Indirizzo IP dell'host
  • Informazioni sugli oggetti rilevati durante una scansione IOC o YARA
  • Contrassegni delle azioni aggiuntive eseguite al completamento delle attività
  • Errori di esecuzione delle attività e codici restituiti
  • Stati di completamento delle attività
  • Ora di completamento delle attività
  • Versioni delle impostazioni utilizzate per l'esecuzione delle attività
  • Informazioni sugli oggetti inviati al server, oggetti in quarantena e oggetti ripristinati dalla quarantena: percorsi degli oggetti, hash MD5 e SHA256, identificatori degli oggetti in quarantena
  • Informazioni sui processi avviati o arrestati in un computer su richiesta del server: PID e UniquePID, codice di errore, hash MD5 e SHA256 degli oggetti
  • Informazioni sui servizi avviati o arrestati in un computer su richiesta del server: nome del servizio, tipo di avvio, codice di errore, hash MD5 e SHA256 delle immagini dei file dei servizi
  • Informazioni sugli oggetti per i quali è stato creato un dump della memoria per una scansione YARA (percorsi, identificatore del file dump)
  • File richiesti dal server
  • Pacchetti di telemetria
  • Dati sui processi in esecuzione:
    • Nome del file eseguibile, incluso il percorso completo e l'estensione
    • Parametri di esecuzione automatica dei processi
    • ID processo
    • ID della sessione di accesso
    • Nome della sessione di accesso
    • Data e ora in cui è stato avviato il processo
    • Hash MD5 e SHA256 dell'oggetto
  • Dati sui file:
    • Percorso del file
    • Nome file
    • Dimensione del file
    • Attributi del file
    • Data e ora di creazione del file
    • Data e ora dell'ultima modifica del file
    • Descrizione del file
    • Nome dell'azienda
    • Hash MD5 e SHA256 dell'oggetto
    • Chiave del Registro di sistema (per i punti di esecuzione automatica)
  • Dati negli errori che si verificano quando sono state recuperate le informazioni sugli oggetti:
    • Nome completo dell'oggetto che è stato elaborato quando si è verificato un errore
    • Codice di errore
• Dati di telemetria:
  • Indirizzo IP dell'host
  • Tipo di dati nel Registro di sistema prima dell'operazione di aggiornamento confermata
  • Dati nella chiave del Registro di sistema prima dell'operazione di modifica confermata
  • Il testo dello script elaborato o parte di esso
  • Tipo dell'oggetto elaborato
  • Modalità di passaggio di un comando all'interprete dei comandi

Dati dalle richieste del componente Central Node all'agente integrato di Kaspersky Endpoint Security:

• Impostazioni delle attività:
  • Tipo di attività
  • Impostazioni di pianificazione delle attività
  • Nomi e password degli account con cui è possibile eseguire le attività
  • Versioni delle impostazioni
  • Identificatori di oggetti in quarantena
  • Percorsi degli oggetti
  • Hash MD5 e SHA256 degli oggetti
  • Riga di comando per avviare il processo con gli argomenti
  • Contrassegni delle azioni aggiuntive eseguite al completamento delle attività
  • Identificatori dei file IOC da recuperare dal server
  • File IOC
  • Nome servizio
  • Tipo di avvio del servizio
  • Cartelle per cui devono essere ricevuti i risultati dell'attività di recupero dei dati forensi
  • Maschere dei nomi e delle estensioni degli oggetti per l'attività di recupero dei dati forensi
• Impostazioni dell'isolamento di rete:
  • Tipi di impostazioni
  • Versioni delle impostazioni
  • Elenchi di esclusioni dell'isolamento di rete e impostazioni di esclusione: direzione del traffico, indirizzi IP, porte, protocolli e percorsi completi dei file eseguibili
  • Contrassegni delle azioni aggiuntive
  • Ora di disabilitazione dell'isolamento automatico
• Impostazioni di Prevenzione dell'esecuzione
  • Tipi di impostazioni
  • Versioni delle impostazioni
  • Elenchi di regole di prevenzione dell'esecuzione e impostazioni delle regole: percorsi degli oggetti, tipi di oggetti, hash MD5 e SHA256 degli oggetti
  • Contrassegni delle azioni aggiuntive
• Impostazioni di filtraggio degli eventi:
  • Nomi dei moduli
  • Percorsi completi degli oggetti
  • Hash MD5 e SHA256 degli oggetti
  • Identificatori delle voci nel registro eventi di Windows
  • Impostazioni dei certificati digitali
  • Direzione del traffico, indirizzi IP, porte, protocolli, percorsi completi dei file eseguibili
  • Nomi utente
  • Tipi di accesso utente
  • Tipi di eventi di telemetria per i quali vengono applicati i filtri

Dati nei risultati della scansione YARA

L'agente integrato di Kaspersky Endpoint Security trasferisce automaticamente i risultati della scansione YARA a Kaspersky Anti Targeted Attack Platform per creare una catena di sviluppo delle minacce.

I dati vengono archiviati temporaneamente in locale nella coda per l'invio dei risultati dell'esecuzione dell'attività al server di Kaspersky Anti Targeted Attack Platform. I dati vengono eliminati dalla memoria temporanea una volta inviati.

I risultati della scansione YARA contengono i seguenti dati:

• Hash MD5 e SHA256 del file
• Nome completo del file
• Percorso del file
• Dimensione del file
• Nome del processo
• Argomenti di processo
• Percorso del file di processo
• Identificatore di Windows (PID) del processo
• Identificatore di Windows (PID) del processo entità superiore
• Account utente che ha avviato il processo
• Data e ora in cui è stato avviato il processo